amper

1. Подскажите, правильно ли я понимаю, что для того, чтобы получить быструю обработку пакетов на новых прошивках надо переделать правила брандмауэра таким образом, чтобы были запрещающие правила, а не разрешающие? Т.е. в первых строках надо описать все вариации того, что запрещено, а ниже правило fasttrack куда должно попасть все остальное, что не было отброшено первыми правилами? Правила простые, как правила описывается адрес лист и интерфейс, либо другой адрес лист, иногда указывается порт. 2. Или можно создать несколько разрешающих fasttrack правил, а последним сделать правило запрещающее все? Есть какая-то зависимость от кол-ва правил которые будут "проверены", прежде, чем найдется правило которое пропустит пакет дальше? 3. Правила RAW имеет смысл использовать только для борьбы с DOS атаками или тут они тоже могут улучшить производительность? 4. Если разрешать все соединения с типом established и related нет ли вероятности что-то пропустить если правилами описывать только new соединения? Например, UDP можно считать established соединением? 5. Без использования Mangle и скриптов можно ли реализовать правило маршрутизации, если IP шлюза получен по DHCP? Например задача поднимать резервное соединение через WIFI если основное отвалилось, но при этом фоном надо проверять доступность инета через основное соединение, а для этого нужно смаршрутизировать какой-то хост через это соединение, если указать в качестве шлюза - интерфейс, ничего не работает...

Просто 5 апреля MUM, пишут там могут быть интересные анонсы, но не указывают какие... можно кто в курсе... RB1100AHx4 - производителен на 2.5гбит\сек (если не считать суммарный трафик), кроме того там RTL8367 который не поддерживает VLAN'ы, про CCR много негатива по скорости работы IPSec (может конечно и допилили что-то в прошивках последних). hap_ac2 - интересная железка, но маловато портов...

Может быть, кто-то знает, планирует ли Mikrotik выпустить что-то подобное в ближайшем будущем (3-6 месяцев)? 1) RB1100AHx4 ($ 300-350), но с портами, напрямую подключенными к ЦП, более высокой производительностью и поддержкой HW IPSec? 2) RB2011iLS-IN, но с поддержкой аппаратного IPSec и поддержкой Wi-Fi 2,4 + 5 ГГц? Что-то вроде RB850. Планируют ли они выпустить поддержку OpenVPN UDP?

А Cisco SLM224PT в сравнении с HP 1910-24-POE насколько плох? Как-то он подозрительно дешево стоит (14 тыс) даже с учетом только 12 РоЕ портов...

РоЕ - камеры, возможно пару телефонов будет, сейчас дект базы но без РоЕ, в теории и их тоже хотелось бы запитать и убрать подальше от юзеров, но, наверное, РоЕ сплиттеров с 48в на 6.5в не бывает, да еще и с поддержкой активного РоЕ? РоЕ как раз хочется управляемый, т.к. VLANы и возможность передернуть питание на порту (чудные камеры hikvision имеют свойство виснуть периодически), совсем *овно брать не хочу, т.к. уже наелся всяких длинков и нетгиров...

а в оригинале какой еще функционал был у dynamic learning? Посмотрел 1820, фуфел полный конечно... 1910 еще есть новые (ну явно не 5 летней давности, может 1-1,5 года), а 1920 чем лучше? Что им на замену пришло? По моему тут как с телеками, лучше взять флагман 3х летней давности, чем сегодняшний эконом, во всем, ну кроме энергосбережения, он будет заведомо хуже... Кстати, а у HP этих серий есть какой-то софт для централизованного управления? На какой то странице находил описание про 2 версии (бесплатная и про), а ссылки битые...

Посоветуйте надежный\управляемый\недорогой L2 коммутатор 48 портов (как минимум 2 гигабитных и 24 РОЕ) со всякими свистелками типа ARP inspection + DHCP snooping и возможностью управлять этим на уровне портов и VLANов. Хочу к его гигабитным портам повесить другие коммутаторы без этих фич и тем самым получить их и на них тоже эти фичи. Пока смотрю в сторону HP 1910-24-POE (22тыс) + 1910-24 (9тыс) или 1820-48G-PoE+ (35тыс) в чем будут отличия от 1910 серии? L3 функционал по идее не нужен, роутер будет в другом месте.

Можно ли на routeros реализовать что-то похожее на ARP inspection + DHCP snooping? Т.е. отбрасывать пакеты от клиентов чьих IP+MAC нет в таблице?

Я подберу район исходя из вашей карты покрытия! Вы могли бы разместить ее и ваши тарифы прямо здесь? )

Прекрасно, переезжаю в Курган и подключаюсь к вам! Убедили!

Если знания не демонстрировать, там отдельная методичка включается - "а давайте перенастроим напрямую на комп, а давайте выключим из сети, а давайте перезагрузим и так по 10 подходов к снаряду в разных вариациях"...

Хочу понять масштабы проблемы... т.е. если вижу ARP значит проблема как минимум на агрегаторе и страдает не только один коммутатор в доме, но и целый район\округ и им плевать на это? Выбор особо не большой, из крупных игроков: билайн, акадо, мгтс... у билайна требования к железу (pptp? пока не готов, ибо openvpn и так грузит проц) и воздушки (у онлайма, вроде как подземные коммуникации, по крайней мере все оборудование стоит на 1 этаже, а не на чердаке); акадо - страх и ужас, все знакомые с них поуходили; мгтс (gpon) - как вариант, тарифы неплохие, но пока морально не готов долбать стены и вешать их скворечник с оптикой, потом его же если что надо либо оплатить, либо пилить куда-то, стоять очередь и сдавать обратно... хотя вспоминаю как лет 10 назад на adsl были периодические блэкауты - они тоже не очень то рвались решить проблему, максимум, что удалось от них добиться это поменять пару и все, проблему это не решило, на том и закончилось наше сотрудничество...

Как построена сеть клиентского доступа (ethernet) в Москве у онлайма (ростелеком)? Клиентские порты изолированы между собой (VLAN?), на порту виден только МАС шлюза (пробивается как Alcatel:Lucent IPD), подсеть 21ая, никакой авторизации нет, только DHCP. Есть ли на клиентских коммутаторах какая-то защита от arp аттак, например? В этому году начались регулярные проблемы с каналом, на порту продолжаю видеть МАС шлюза (причем при переборе почти все IP из 21 подсети будут отвечать с этим МАСом), но на пинг он не отвечает, служба сочувствия ростелекома говорит, что недоступно домовое оборудование, через 5-30 минут поднимается (очень похоже, что какой-то watchdog срабатывает, хотя может и пожилая бабушка идет и вилку выдергивает - ростелеком же)... Хочу максимально разобраться в проблеме и понять, что требовать от этих разгильдяев )

Спасибо, видимо новых прошивках появилось, в 6.27 нет...

Поскольку $%%#^# онлайм стал часто отваливаться, задумался над бэкапом с помощью мобильного интернета на мобиле (мтс 2.5мбита на 4Ж -- высотааа!), но возникает вопрос, что одновременно держать на RB2011UiAS-2HnD wifi в режиме точки доступа (ap bridge) и (station) невозможно, виртуальная сеть так же не ведет трансляции SSID если мастер не в режиме ap - с этим можно что-то сделать? Идея при падении основного канала подключаться к точке доступа на мобиле, но при этом оставаясь точкой доступа для других устройств. Если кто-то делал что-то подобное - отпишитесь плз.

Схема сети примерно такая, cерверы в одном VLAN'e, у клиентских свичей - отдельные VLAN'ы, между ними соответственно маршрутизация. Магистральные линки оптика 1 гбит, есть желание перенести серверные аплинки на 10 гбит, но на CRS1009 только один SFP+ порт, соответственно для полной совместимости второй надо брать такой же (хотя они уже и сняты с пр-ва), на остальных свичах только SFP. В теории чтобы можно было отцепить умерший микротик надо сажать его на за свич и больше к нему напрямую ничего не подключать, а при неоходимости просто тушить порт, но тогда встает вопрос по кол-ву SFP+ портов и аплинков. В перспективе добавится еще одна серверная, соответственно в центр нужен свич как минимум с 3 SFP+. Есть 2шт Cisco 500 Series SG500X-48P, планировали задействовать их, либо взять CRS317-1G-16S+RM - но есть ли там адекватная поддержка RSTP (для защиты от петель) и совместим ли он с S+RJ10? @vurd Интересное решение, весь heartbeat трафик по каждому интерфейсу отдельно или можно загнать его в служебный management VLAN? В статье человек жалуется, что что VRRP на WAN интерфейсе некорректно работает IPSEC. Наверняка еще какие-то подводные камни есть? Кстати, при экспорте\импорте конфигурации system backup save name=lastconfig system backup load name=lastconfig.backup сертификаты так же импортируются? В основном меняться будут правила firewall'a, address list's и ppp secrets, может быть есть смысл синхронизировать только их?

Сейчас имеем сеть с около 200 ПК попиленную на VLAN'ы и в центре CCR1009, DHCP где-то виндовые, где-то на микротике, где-то вообще статикой указано (серверы). В инет несколько белых IP. Пока вижу какую-то такую схему - выдать резервному маршрутизатору один из белых IP, скопировать (максимально возможно) на него конфигурацию с основного, но поотключать интерфейсы, в случае падения основного подключиться к резервному и активировать интерфейсы (с теми же IP адресами, что и на основном), но иногда может быть ситуация (пару раз было) когда на основном начинаются жесткие тормоза, потери пинга и т.д. и подключиться к интерфейсу управления невозможно, watchdog не срабатывает (т.к. лежит не полностью) и соответственно активация интерфейсов на резервном особо ничего не даст т.к. будет конфликт. Поделитесь опытом, кто как реализовывал обеспечение отказоустойчивости с помощью 2х роутеров?

Прихоть заказчика... )

Подскажите, выбираю кабель для внутренней прокладки по лоткам здания, метраж трасс от 200 до 500 метров, использование под 10Гбит. Гелевый-безгелевый - в чем разница и что лучше? Насколько важны эти параметры и какое минимально достаточное значение должно быть: Растягивающее усилие (монтаж) Растягивающее усилие (эксплуатация) Раздавливающее усилие? Вот такой кабель стоит рассматривать к покупке? Кабель волоконно-оптический 9/125, 4 волокна Belden GOSN804 (GOSA804) Или чуть доплатить и взять такой? Есть ли реальный эффект от защиты? Belden GORA804.002100 Кабель волоконно-оптический 9/125, 4 волокна 002100 OS2 одномодовый, loose tube, гелиевый, с защитой от грызунов (стекловолокно или нейлон), для внешней прокладки, PE, аналог A-DQ(ZN)B2

А насколько распространена ситуация, когда человек прошел, но балки до конца не докрутились и соответственно не заперлись, т.е. в теории их можно вернуть назад, и пройти еще раз? Может кто-то из производителей подумал об этом и там есть что-то типа пружины под действием которой балки доворачиваются до защелки?

В метро помните раньше турникеты были под монетки? Вот такой же принцип работы, только турникет трипод.

Канал один, интерфейс и мак у шлюзов тоже один. Использоваться новый адрес будет для netmap и для srcnat. Если для нового маршрута поставить distance больше, этого не будет достаточно?

А если бы это был не я, а один мой знакомый? )

В данный момент на интерфейсе который смотрит наружу висит 29 подсеть белых IP адресов, соответственно в таблице маршрутизации маршрут 0.0.0.0/0 указывает на шлюз из этой подсети. Появилась необходимость добавить дополнительные белые IP на этот же интерфейс, но уже из 30 подсети. Просто добавляю еще один адрес на интерфейс, и еще один маршрут на 0.0.0.0/0, а дальше оно автоматом разберется, что и куда или надо упражняться с маркировкой пакетов и путей?

Рассматриваю следующие модели: Perco-T5 SA-301 Ростов-Дон Т2MМ1 Как я понимаю только последний имеет нормально разблокированную конструкцию, т.е. механизм активизируется только если доступ не был разрешен. Интересно было бы узнать отызвы реальных пользователей, фото механизмов вызывают сомнения в долговечности...